IoT 보안인증제도 총정리

1. IoT 보안인증제도의 개념

IoT 제품이 정보보호 인증기준에 적합함을 시험하여 인증서를 발급하는 제도로, 해당 제도 운영을 통해 자국민의 안전과 산업경쟁력 강화를 꾀하고 있다.

 

그런데 IoT는 여전히 일반 대중들에게는 낯선 단어일 것이다. 그럼 한국말로 풀어보면 어떨까. 사물 인터넷. 이것도 여전히 낯선 말이지 않을까 싶다. 그럼 IoT에 속하는 예시들을 알려주면 이해가 편할 것 같다.

 

월패드, 도어락, 비상호출 스위치, 화재 감지기, 홈 CCTV, 자동 차단 콘센트, 센서, 자동 수도 검침 기기 등 집 안에 있는 스마트해 보이는 친구들이 IoT에 포함되는 것들이라 생각하면 조금 이해가 수월할 것이라 생각한다.

 

2. IoT 보안인증제도 인증

인증대상은 IoT 제품 및 제품과 연동되는 모바일 앱으로, 계통적, 유기적으로 구성된 네트워크에 연결되어 감지, 제어, 중계, 촬영, 관리, 운행 등의 기능을 수행하는 기기를 총칭한다.

 

인증기관은 한국인터넷진흥원(KISA)이고, 한국기계전기전자시험연구원(KTC), 한국정보통신기술협회(TTA)이 시험대행기관을 맡고 있다. 시험·인증기준은 식별 및 인증, 데이터 보호, 암호, 소프트웨어 보안, 업데이트 및 기술지원, 운영체제 및 네트워크 보안, 하드웨어 보안, 총 7개의 인증영역으로 구분하며, 상세 내용은 아래와 같다.

분류	평가내용
식별 및 인증	안전한 인증정보 사용, 사용자 인증 및 권한 관리, 비인가 상호인증 제한, 반복된 인증시도 제한, 정보노출 방지, 안전한 세션 관리
데이터 보호	전송·저장 데이터 보호, 중요정보 저장 영역 보호강화, 개인정보 법적 준거성, 중요정보 완전삭제
암호	안전한 암호 알고리즘 사용, 안전한 암호키 생성, 안전한 암호키 관리, 안전한 난수 생성
소프트웨어 보안	시큐어코딩, 소스코드 난독화, 소프트웨어 보안기능 시험, 알려진 취약점 조치, 불필요한 기능 및 코드 제거, 안전한 소프트웨어 적용, 감사기록
업데이트 및 기술지원	모델명 및 제품정보 확인, 안전한 업데이트 수행, 업데이트 파일의 안전성 보장, 업데이트 실패 시 복구, 업데이트 기술 지원, 업데이트 정보 제공, 자동업데이트 기능 제공
운영체제 및 네트워크 보안	안전한 운영체제 적용, 불필요한 계정·서비스·포트 통제, 불필요한 네트워크 인터페이스 비활성화, 실행코드 및 설정파일 무결성 검증, 장애 시 시스템 복원, 서비스 거부 공격 대응, 운영체제 기능 보호, 접근권한 최소화, 비인가 소프트웨어 설치·실행차단, 원격접속·네트워크 트래픽 통제
하드웨어 보안	안전한 부팅 및 자체시험, 자체시험 실패 시 대응, 하드웨어 장애 대응, 무단 훼손 방어, 부채널·메모리 공격 대응, 비휘발성 메모리 보호, 외·내부 인터페이스 보호

 

인증 유형(등급)의 개념이 존재하는데, IoT 제품의 다양한 유형 및 인증 수요를 반영하고, 보안위험기반의 등급으로 개선하여 3개의 등급(Lite, Basic, Standard)으로 구분하여 시행한다. 각 등급에 따라 소요기간이 다르며, 라이트는 6주 이상, 베이직은 8주 이상, 스탠다드는 12주 이상이 소요된다. 물론 개선사항이 있을 경우의 플러스 알파는 계속 커질 수 있을 것이다.

 

인증 수수료는 제품의 특징 및 난이도, 신청 등급, 인증 기준, 일정 등을 고려하여 산정한다. 등급으로 나눠 구분을 하면, 라이트는 약 600만원, 베이직(기기)은 약 1,300만원, 베이직(앱)은 약 900만원, 스탠다드는 약 2천만원에 달한다.

 

그런데 솔직히 말해.. 당장 https://www.ksecurity.or.kr/kisis/subIndex/160.do 사이트를 보면서 최하단에 개인정보처리방침을 클릭했을 때 404 Not Found가 뜨는 것을 봐서는.. 솔직히 믿음이 안간다는 사람들이 많이 나와도 할 말이 없다. 그런데 그런 인증제도라도 돈을 내면서 인증을 하는 기업에 대해서는 소비자 입장에서 조금은 관심을 두어도 되지 않을까 싶다.

 

자세한 내용은 하단의 첨부파일에서 확인할 수 있다.

 

정보통신망연결기기등_정보보호인증_기준_해설서(2023.9).pdf

6.07MB